Moin !
Ich versuche, Mails von Systemen einzuliefern und bekomme hier folgende Log-Einträge

info disconnect from xxx commands=0/0
info lost connection after CONNECT from xxx
info SSL_accept error from xxxx: lost connection
info connect from xxx

Die Einlieferung der Mails schlägt fehl.

Ich habe schon probiert, alte TLS-Versionen wieder zu aktivieren:
(docs.mailcow.email Icon TLS 1.0 und TLS 1.1 wieder aktivieren - mailcow: dockerized Dokumentation

docs.mailcow.email Icon docs.mailcow.email
TLS 1.0 und TLS 1.1 wieder aktivieren - mailcow: dockerized Dokumentation
None
docs.mailcow.email
)
Dies bringt keine Änderungen.

Hat jemand eine Idee, was es sein kann oder wo ich tiefer “graben” kann, um zu debuggen ?

  • DocFraggle

    • Community Hero
    Moolevel 246
  • Post #2
  • This post is in German

Was für Systeme sind das denn? Und was hast Du dort als Mail-Server/Port eingetragen?

Have something to say?

Join the community by quickly registering to participate in this discussion. We'd like to see you joining our great moo-community!

Anfangs hatte ich Linux Systeme, da lag es an einem veralteten SSMTP, den ich durch MSMTP ersetzt habe.
Daher mein Versuch mit den älteren TLS Versionen.

Aktuell geht es um eine APC 9630 NMC.

Ich habe dort alles getestet, wollte 587 nutzen.

    • DocFraggle

      • Community Hero
      Moolevel 246
    • Post #4
    • This post is in German

    OK, das APC 9630 NMC ist ja wirklich schon sehr in die Jahre gekommen und wird kein TLS 1.2 und aufwärts können denke ich…
    mailcow community Icon Wie wir hier gerade erst diskutiert haben

    mailcow community Icon mailcow communityDiscussion
    Hi all,
    A Azard
    mailcow community
    23 4
    verwenden der Postfix und der Dovecot Container inzwischen OpenSSL 3.x, und da ist TLS <1.2 standardmäßig deaktiviert. Man muss die openssl.cnf tweaken, was aktuell aber nicht persistent ist nach einem Update der Container

    • esackbauer

      • Community Hero
      Moolevel 349
    • Post #5
    • Edited
    • This post is in German

    mfuchs wollte 587 nutzen.

    Da MUSST du STARTTLS nutzen und DARFST nicht TLS nutzen…
    Leute, lest die Doku:
    docs.mailcow.email Icon Manuelle Konfiguration - mailcow: dockerized Dokumentation

    docs.mailcow.email Icon docs.mailcow.email
    Manuelle Konfiguration - mailcow: dockerized Dokumentation
    None
    docs.mailcow.email

    Zudem ist das eigentlich der falsche Port 587 ist für mailboxen mit User/PW Authentifizierung.
    Verwende Port 25 (auch nur mit STARTTLS oder ganz ohne verschlüsselung, die APC sendet ja keine passwörter…), und definiere die IP der APC unter “Weiterleitungs Hosts” in den Einstellungen von Mailcow.

        esackbauer

        esackbauer
        Leider funktioniert auch STARTTLS nicht auf 587.

        Diese Punkte habe ich alle schon durchprobiert.
        Gelesen habe die Doku wohl, ich bin auch nicht unbedingt unbewandert auf diesem Gebiet, daher meine Frage, ob es irgendwo erweiterte Logs oder irgendetwas gibt, wo man tiefer debuggen kann.

            • DocFraggle

              • Community Hero
              Moolevel 246
            • Post #7
            • Edited
            • This post is in German

            Port 25 ohne Verschlüsselung kannst Du nicht nutzen?

            @esackbauer Port 25 mit STARTTLS nutzt ja trotzdem TLS

            openssl s_client -connect 127.0.0.1:25 -starttls smtp -brief

Can't use SSL_get_servername
CONNECTION ESTABLISHED
Protocol version: TLSv1.3

            Und wenn die APC kein TLS >1.1 kann aber er aus welchen Gründen auch immer verschlüsseln muss wird es nicht gehen, denn 1.0 und 1.1 sind deaktiviert

            openssl s_client -connect 127.0.0.1:25 -starttls smtp -tls1_1
CONNECTED(00000003)
140534673758016:error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:ssl/record/rec_layer_s3.c:1544:SSL alert number 70

            Außer Du aktivierst es wieder wie im anderen Beitrag beschrieben. 25 ist auf jeden Fall das Port der Wahl wie @esackbauer geschrieben hat

            • Mmfuchs

                Moolevel 4
              • Post #8
              • Edited
              • This post is in German

              Moin, wie liefert ihr denn Mails z.B. von FritzBox oder Ähnlichem ein ?
              Port 25 ? Ist ja eher nicht mehr die Wahl - und erst recht nicht unauthentifiziert ?

              Des Weiteren funktioniert es auch mit älteren Ciphern nicht (hatte ich ja oben bereits erwähnt) - daher ja meine Frage nach weiteren Logs.

              Ich gehe nun aber davon aus, daß es keine Postfix debug-Logs o.ä. gibt ?

              • DocFraggle

                • Community Hero
                Moolevel 246
              • Post #9
              • This post is in German

              Hast Du denn im Postfix Container TLS <1.2 wieder aktiviert wie oben beschrieben? Also die openssl.cnf gepatcht?

              • Mmfuchs

                  Moolevel 4
                • Post #10
                • Edited
                • This post is in German

                Ich hatte die obenssl.cnf noch nicht gepatcht. Das werde ich noch einmal nachholen.
                Vielleicht bringt das ja noch etwas.
                Bisher hatte ich nur probiert, mit oben genannten Artikel die alten TLS Versionen wieder zum Laufen zu bringen.
                Generell möchte man ja die alten Versionen nicht haben.

                Seid ihr euch denn sicher, dass es sich hierbei um ein SSL Problem handelt?

                Daher noch einmal meine Frage nach weiteren Logs ?

                In der APC sieht es zumindest kompatibel aus.

                  • DocFraggle

                    • Community Hero
                    Moolevel 246
                  • Post #11
                  • Edited
                  • This post is in German

                  mfuchs Seid ihr euch denn sicher, dass es sich hierbei um ein SSL Problem handelt?

                  Da Deine APC schon seit einigen Jahren EOL ist gehe ich stark davon aus. Teste es doch einfach mit dem Patch oben

                  mfuchs Bisher hatte ich nur probiert, mit oben genannten Artikel die alten TLS Versionen wieder zum Laufen zu bringen.
                  Generell möchte man ja die alten Versionen nicht haben.

                  Wenn Du den anderen Post genau liest: der Artikel aus der Dokumentation funktioniert so nicht mehr, man muss jetzt zusätzlich die openssl.cnf patchen

                        • Mmfuchs

                            Moolevel 4
                          • Post #12
                          • This post is in German

                          DocFraggle

                          Das las‘ ich, kann es nur derzeit nicht testen - geht los, sobald im Zugriff 👍🏻

                            No one is typing